Il arrive de découvrir parfois qu'un serveur Web a une fuite de code PHP : au lieu d'afficher de résultat du script PHP, il affiche carremment le code source, avec tous les problèmes de sécurité qui en découlent.
Les sources de cette erreurs sont généralement un problème de configuration, où des fichiers n'ont pas d'extension adaptée : par exemple, un fichier .php.bak, comme en produisent certains éditeurs, ou bien les fichiers .inc, sont affichés par défaut comme des pages HTML par Apache.
Une solution pour y remédier est d'utiliser mod_security, et d'interdire toutes les pages qui contiennent des balises PHP.
- Learning from Facebook: Preventing PHP Leakage
Les sources de cette erreurs sont généralement un problème de configuration, où des fichiers n'ont pas d'extension adaptée : par exemple, un fichier .php.bak, comme en produisent certains éditeurs, ou bien les fichiers .inc, sont affichés par défaut comme des pages HTML par Apache.
Une solution pour y remédier est d'utiliser mod_security, et d'interdire toutes les pages qui contiennent des balises PHP.
- Learning from Facebook: Preventing PHP Leakage
-
Auteur
